Ein Überlebensleitfaden für den Small Mail Server
| 19. August 2020Heutzutage glauben viele Unternehmen und Organisationen (Non-Profit-Organisationen, Einheiten von Regierungs- und Bildungseinrichtungen usw.), dass der Betrieb eines eigenen Mailservers aufgrund der großen Menge an eingehendem Spam und der ständigen Versuche von Spammern, zu senden, zu einer unmöglichen Aufgabe geworden ist ausgehenden Spam über ihre Mailserver. Unternehmen verfügen oft nicht über interne technische Ressourcen, um einen Mailserver ordnungsgemäß zu konfigurieren und zu betreiben und mit diesen Bedrohungen umzugehen. Aus diesen Gründen entscheiden sich viele Organisationen, ihren E-Mail-Dienst an externe Einheiten auszulagern.
Outsourcing ist jedoch nicht kostenlos, auch wenn die ausgelagerte Leistung „kostenlos“ erscheint. Zu den versteckten Kosten zählen:
- Eine andere Organisation kann den Inhalt aller Nachrichten sehen. In einigen Fällen wird der Inhalt von Nachrichten auf den Servern des Outsourcing-Unternehmens auf unbestimmte Zeit gespeichert. Der externe Zugriff auf unverschlüsselte E-Mails wirft Datenschutz- und Vertraulichkeitsprobleme auf. Darüber hinaus kann das auslagernde Unternehmen seinen Sitz in einem anderen Land haben und anderen Vorschriften und Verpflichtungen unterliegen.
- In einigen Fällen erlauben die Geschäftsbedingungen des Outsourcing-Unternehmens, den Inhalt von E-Mails zu durchsuchen, um gezielt Werbung zu platzieren, was noch größere Datenschutz- und Vertraulichkeitsprobleme aufwirft.
- Die Organisation hat keine Kontrolle mehr über ihre eigene E-Mail-Sicherheit. Die serverbasierte Verschlüsselung und Authentifizierung wird vom Outsourcing-Unternehmen verwaltet und erfordert eine Ende-zu-Ende-Verschlüsselung für sensible Kommunikation.
- Große Unternehmen mit vielen Kunden sind oft Ziel von Cyberkriminalität-Angriffen, die darauf abzielen, Kundendaten zu stehlen, und einige dieser Angriffe waren erfolgreich.
- Die Überprüfung von SMTP-Transaktionsprotokollen kann für den Endbenutzer unmöglich sein. Die Fehlerbehebung bei fehlgeschlagenen Zustellungen und anderen E-Mail-Problemen erfordert die Interaktion mit einem externen Support-Desk. Support Desks reagieren manchmal langsam. Insbesondere dem First-Line-Support fehlen möglicherweise die Schulung und der Zugang, um alle außer einfachen Probleme zu beheben, was eine Eskalation und weitere Verzögerungen erfordert.
- Die gemeinsame Nutzung eines Mailservers mit anderen Organisationen kann zu Problemen bei der Zustellung führen, wenn ein Benutzer einer anderen Organisation Spam über diesen Mailserver sendet. Wenn das auslagernde Unternehmen Spam nicht erkennt und blockiert oder den Dienst für Spammer nur langsam beendet, steigt die Wahrscheinlichkeit von Problemen erheblich.
Diese Nachteile sind wichtig. Für kleine Unternehmen, die zuverlässige, vertrauliche E-Mail-Systeme benötigen, kann die Entscheidung, ob ausgelagert werden soll oder nicht, schwierig sein.
Das Betreiben eines sicheren, Spam-gefilterten Mailservers für eine kleine Organisation ist nicht allzu schwierig, wenn diese Richtlinien befolgt werden:
Wählen Sie einen guten ISP oder Hosting-Provider
Lehnen Sie so viel eingehenden Spam wie möglich ab
Verhindern Sie ausgehenden Spam
Überwachen Sie die Protokolle!
Im Rest dieses Artikels besprechen wir jeden dieser Punkte der Reihe nach.
WÄHLEN SIE EINEN GUTEN ISP ODER HOSTING-ANBIETER
Leider berücksichtigen Menschen und Unternehmen selten, wie ein ISP oder Hosting-Provider mit Spam- und Missbrauchsproblemen umgeht, wenn sie sich für ein Unternehmen entscheiden, das sie für Internetdienste verwenden oder einen Server hosten. ISPs unterscheiden sich erheblich darin, wie gut sie Spam und Missbrauch in ihrem Netzwerk unter Kontrolle halten. Wenn Sie Ihren eigenen Mailserver verwalten, ist es von entscheidender Bedeutung, dass Ihr ISP Spam und Missbrauch in seinem Netzwerk nicht zulässt. Wenn dies der Fall ist, können beim Senden von E-Mails Zustellungsprobleme auftreten. Ihre Server könnten auch einer erhöhten Anzahl von Hackerangriffen ausgesetzt sein, da viele Hacker ihre Bemühungen auf Netzwerke konzentrieren, denen es an wirksamen Spam- und Missbrauchsrichtlinien oder einer ausreichend besetzten und kompetenten Missbrauchsabteilung mangelt. Wenn Ihr Server aufgrund einer Sicherheitslücke zu einem Missbrauchsinstrument wurde, würden Sie es außerdem sehr begrüßen, wenn Ihr ISP Sie professionell und zeitnah benachrichtigt, anstatt das Problem zu ignorieren.
Um zu überprüfen, ob ein ISP oder Hosting-Unternehmen Spam und Missbrauch in seinem Netzwerk ordnungsgemäß behandelt, können Sie eine Reihe von Ressourcen verwenden, um die Reputation seiner IPs und Domänen zu überprüfen und festzustellen, wie gut es auf Missbrauchsmeldungen reagiert, die an sein RFC gesendet werden. vorgeschriebene E-Mail-Adresse für Missbrauchskontakte.
Zuerst können Sie die CBL-Statistik nach Domain-Liste überprüfen, um zu sehen, ob der ISP darin enthalten ist und wenn ja, in welchem Ranking. Ein kleiner oder mittelgroßer ISP oder Webhost sollte nicht auf dieser Liste erscheinen. Ein großer ISP oder Webhost sollte nicht hoch eingestuft werden, wenn er auftaucht. Ein hohes Ranking zeigt an, dass der ISP viel Spam von mit Malware infizierten Servern sendet oder Malware auf seinen Servern hostet, die andere Computer infizieren kann. Ein ISP, dessen Netzwerke nicht erscheinen oder nicht hochrangig sind, verfügt normalerweise über ausreichende Ressourcen zur Missbrauchsverwaltung und bewährte Verfahren, die es ihm ermöglichen, kompromittierte Server und Endbenutzercomputer zu erkennen. Solche ISPs handeln auch schnell, um infizierte Benutzer zu benachrichtigen, indem sie Probleme beheben, anstatt sie zu verweilen.
Zweitens verfügt die SBL über zwei Ressourcen zur Überprüfung eines ISP oder Hosts. Sie können auf der SBL-Seite „World's Worst Spam Support ISPs“ nachsehen, ob der ISP aufgeführt ist. Wenn ja, vermeiden Sie es. Ein ISP, der auf dieser Liste erscheint, ignoriert entweder Spam und Missbrauch in seinem Netzwerk oder macht sich aktiv daran beteiligt. Wenn der ISP nicht auf der Liste der schlimmsten Spam-Unterstützer erscheint, suchen Sie nach offenen SBL-Einträgen innerhalb der IPs des ISP, indem Sie die folgende URL öffnen und dabei „example.com“ durch den Domänennamen des ISP ersetzen:
http://www.spamhaus.org/sbl/listings/example.com
Einige ISPs verwenden mehrere Domänennamen. In den meisten Fällen leitet die Spamhaus-Datenbank die Suche automatisch auf den richtigen Domainnamen um und zeigt die SBL-Listen für diesen ISP an. In der SBL werden nur Top-Level-Netzwerke angezeigt; ISPs, die ihre IPs von einem anderen ISP oder Network Service Provider (NSP) beziehen, treten normalerweise nicht unter ihrem eigenen Namen auf. Wenn Sie keinen ISP finden können, den Sie in Betracht ziehen, sollten Sie, bevor Sie davon ausgehen, dass er ein sauberes Netzwerk betreibt, nach dem Domänennamen seines Upstream-Providers oder seiner Upstream-Provider suchen.
Die Ergebnisseite für diese Art von Suche zeigt eine kurze Zusammenfassung aller aktiven SBL-Einträge, die diesem ISP mit ihrem Erstellungsdatum zugewiesen sind. Ein großer ISP hat oft ein paar Einträge, aber selbst große ISPs sollten nur wenige SBLs haben und die Eintragsdaten sollten aktuell sein (innerhalb der letzten ein oder zwei Wochen). Möglicherweise sehen Sie auch einige informative SBL-Auflistungen: Auflistungen für eine einzelne IP, die mit „.0/32“ endet. Ignorieren Sie diese SBLs nicht, nur weil sie keine aktiven IPs blockieren. Informations-SBLs dokumentieren echte Probleme bei IPs, die Spamhaus nicht direkt auflistet, um eine große Anzahl falsch positiver Ergebnisse zu vermeiden. Sie sind nicht weniger schwerwiegend als andere SBLs.
Wenn ein ISP mehr als ein paar SBL-Einträge hat oder SBL-Einträge hat, die Wochen oder Monate alt sind, können Sie normalerweise daraus schließen, dass der ISP den Missbrauch in seinen Netzwerken nicht effektiv verhindert und verwaltet.
Drittens können Sie die folgenden empfohlenen Drittanbieter-Ressourcen überprüfen, um herauszufinden, ob eine bestimmte IP oder Domain in öffentlichen Sperrlisten (unseren und anderen) aufgeführt ist, und um die Reputation eines bestimmten IP-Bereichs oder einer bestimmten Domain zu beurteilen:
-
MX Toolbox Blacklist-Check. Überprüfen Sie IPs und Domains, um zu sehen, ob sie in Sperrlisten aufgeführt sind (Spamhaus und viele andere).
-
SenderBase. Überprüfen Sie die IPs und IP-Bereiche auf die allgemeine Reputation.
-
SenderScore. Überprüfen Sie IPs und Domänen auf die allgemeine Reputation.
Abschließend sollten Sie die E-Mail-Adresse des Missbrauchskontakts (die E-Mail-Adresse „abuse@“ in der Domäne des ISP) testen, um festzustellen, ob sie vorhanden ist und ob Sie eine zeitnahe Antwort erhalten. Sie können dies tun, indem Sie eine E-Mail an diese E-Mail-Adresse senden und eine Frage zu einem Missbrauchsproblem stellen. Sie könnten beispielsweise fragen, über welche Ressourcen der Hoster verfügt, um Kunden zu helfen, deren Server gehackt oder kompromittiert wurden. Wenn der ISP die E-Mail nicht innerhalb weniger Tage beantwortet oder die Nachricht aus irgendeinem Grund abgelehnt wird, ignoriert er möglicherweise auch andere E-Mails an seinen Missbrauchskontakt. Wenn der ISP antwortet, ist das auf jeden Fall als gutes Zeichen zu werten.
Denken Sie daran, dass das Missbrauchsteam eines ISP neben der Annahme von Spam- und Missbrauchsbeschwerden auch proaktive Maßnahmen ergreifen sollte, um sicherzustellen, dass es von Spam oder Missbrauch in seinem Netzwerk erfährt und schnell Maßnahmen ergreifen kann, um diesen zu stoppen. Ein gutes ISP-Missbrauchsteam abonniert Rückkopplungsschleifen — automatisierte Spam-Berichte nahezu in Echtzeit, die von einer Reihe großer ISPs und Anti-Missbrauchs-Organisationen angeboten werden. Ein gutes ISP-Missbrauchsteam konfiguriert auch sein Netzwerk, um Spam zu verhindern, überwacht sein Netzwerk auf Anzeichen dafür, dass eine IP oder ein Server mehr E-Mails sendet als er sollte oder ein hohes Datenaufkommen an unerwartete Web-URLs oder unerwartete Ports empfängt. Von einem Missbrauchsteam wird erwartet, dass es Spam-Beschwerden und Missbrauchsmeldungen bearbeitet und Probleme überwacht, bis sie gelöst sind.
Wenn beispielsweise ein Server mit einer IP-Adresse im Netzwerk des ISP mit Spam-sendender Malware infiziert ist, sollte ein Missbrauchs-Desk den Anstieg des Datenverkehrs von diesem Server sehen. Wenn der Spam an einen großen ISP gesendet wird, der eine Feedback-Schleife anbietet, oder an Honeypot-E-Mail-Adressen, die einem Reputationsdienst gehören, sollte das Missbrauchsbüro den erhöhten Spam in den Feedback-Schleifen bemerken, die es abonniert. Ein Power-User (z. B. jemand, der einen eigenen Mailserver betreibt) kann den Spam auch an den Missbrauchskontakt des ISP melden. Aufgrund dieser und anderer Ressourcen sollte das ISP-Missbrauchsteam die Situation kennen und in der Lage sein, den infizierten Server schnell herunterzufahren, um weiteren Spam und weitere Risiken für unschuldige Benutzer zu verhindern, bis der Server gesichert ist.
Schauen Sie mit Misstrauen auf ISPs, deren Missbrauchsprobleme von demselben Team bearbeitet werden, das sich um normale Kundensupportprobleme kümmert. Ein wirksames Missbrauchsmanagement erfordert andere Fähigkeiten als der Kundensupport. Das Ziel eines Kundendienstmitarbeiters besteht darin, Probleme zu lösen, die der Kunde mit dem Dienst hat. Das Ziel eines Missbrauchsteams besteht darin, Probleme zu lösen, die der Kunde der Community verursacht. Aufgrund der unterschiedlichen und möglicherweise sogar widersprüchlichen Ausrichtung der beiden Teams sollten Missbrauchs- und Kundensupportfunktionen auch bei einem kleinen ISP getrennt werden. Ein mittelgroßer oder großer ISP sollte ein völlig unabhängiges Team haben, das für Sicherheit und Missbrauch verantwortlich ist. Dieses Team sollte in engem Kontakt mit Verwaltung und Vertrieb arbeiten und in der Lage sein, missbräuchliche Kunden zu kündigen und wiederholte Anmeldungen solcher Personen zu verhindern.
Ziehen Sie in Erwägung, Ihren ISP zu wechseln, wenn Ihr derzeitiger ISP nicht mit Missbrauch und Sicherheitsproblemen umgeht. Sie möchten nicht, dass Ihre E-Mail blockiert wird, weil Ihr ISP Spam und Missbrauch in demselben Netzwerk toleriert, das Sie verwenden. Wie das Fahren eines Autos ohne Versicherung erscheint das Ignorieren von Missbrauchsproblemen zunächst billiger, kann sich jedoch auf lange Sicht als extrem teuer erweisen.
LEGEN SIE SO VIEL EINGEHENDEN SPAM WIE MÖGLICH AB
Das Spamhaus-Projekt bietet mehrere IP-Adressen- und Domänendatenbanken, die bei richtiger Verwendung die Menge an eingehendem Spam, die Postfächer erreicht, auf ein sehr niedriges Niveau senken, ohne eine nennenswerte Menge an legitimen Mails zu blockieren. Bei geringem Mailaufkommen können diese Datenbanken frei genutzt werden.
Es ist jedoch sehr wichtig, dass sie richtig verwendet werden. Dies läuft auf:
- Verwenden der IP-basierten SBL-, XBL- und PBL-Datenbanken auf SMTP-Verbindungsebene gegen die Quell-IP-Adresse, die die Verbindung initiiert (dies ist die normale Verwendung von DNSBL);
- Über die domänenbasierte DBL-Datenbank auf SMTP-Ebene im Idealfall drei Dinge prüfen: die Absenderdomäne (MAIL FROM), den Namen des verbindenden Servers nach HELO und den Namen des verbindenden Servers nach Reverse DNS. Man sollte eine Mailserver-Software wählen, die diese Prüfungen unterstützt;
- Lassen Sie eine Software mit dem Mailserver verknüpfen, die eine weitere Analyse der Mailinhalte (sowohl Header als auch Body) durchführt, nach IP-Adressen und Domänen sucht, in den empfangenen Zeilen und im Body als URLs erscheinen und diese mit den SBL-, XBL- und DBL-Datenbanken abgleichen . Sehr oft werden die Ergebnisse dieser Prüfungen mit anderen Prüfungen kombiniert, um einen „Spam-Score“ für die Nachricht zu erstellen, der dann verwendet wird, um zu entscheiden, ob die Nachricht im normalen Benutzerpostfach oder in einem separaten Ordner zugestellt oder geworfen werden soll ganz weg.
Alle diese drei Komponenten sind als absolut notwendig zu betrachten. Ohne diese drei Komponenten sollte keine Neuinstallation vorgenommen werden.
AUSGANGSSPAM VERHINDERN
Das Versenden von Spam wird entweder durch eine Person oder Einheit innerhalb der Organisation verursacht, die beschließt, Spam zu versenden, oder durch ein Sicherheitsproblem, das es anderen Personen ermöglicht, Spam über Ihre IP-Adresse zu versenden. Für den ersten Fall gibt es keine technische Lösung, jedoch sollten sich alle Mitarbeiter im Marketing bewusst sein, dass alle für Massenmailings verwendeten E-Mail-Adressen ausdrücklich den Erhalt von E-Mails zu Ihren Produkten oder Dienstleistungen durch ein bestätigtes Opt-In-Verfahren angefordert haben sollten.
Die überwiegende Mehrheit des durch Sicherheitsprobleme verursachten Spams fällt in eine der folgenden vier Kategorien (die sich manchmal teilweise überschneiden):
-
- Malware-Trojaner und -Viren
Malware-Programme werden mit einer Vielzahl von Tricks auf Computer heruntergeladen und dann von Kriminellen für verschiedene schändliche Aufgaben verwendet. Das Versenden von Spam ist nur eine davon.-
- Trojaner können einen direkten negativen Einfluss auf Ihren legitimen Nachrichtenfluss haben. Grundsätzlich sollten Sie keinem Rechner, der nicht der Mailserver ist, erlauben, SMTP-Verbindungen (Port 25 als Ziel) zu externen Hosts zu initiieren. Nur der Mailserver sollte in der Lage sein, E-Mails zu senden. Diese Maßnahme macht Trojaner, die den Mailserver umgehen, einfach wirkungslos.
-
- Während es immer eine gute Sache ist, die Maschinen mit Antiviren zu scannen, gelingt es heutzutage vielen Malware, der Entdeckung zu entgehen, indem sie sich ständig verändert. Am besten richten Sie die Dinge so ein, dass sie dank Firewalling einfach keine E-Mails nach draußen schicken können.
-
- Offenes Relais
Ihr Mailsystem sollte sich nicht wie ein offenes Relais, das heißt, jeder auf der Welt kann sich mit dem Server verbinden und E-Mails an jeden auf der Welt senden. Das Hauptproblem besteht darin, dass die heutigen Firewalls und andere Schutzboxen oft für offene Relay-Setups verantwortlich sind und nicht der Mailserver selbst. Aber das Testen auf ein offenes Relay ist extrem einfach und sollte immer durchgeführt werden, wenn die Konfiguration des Mailsystems geändert wird. Wenn der Test bestanden ist, haben Sie dieses Problem nicht.
- Kompromittierte Konten
Ein sehr häufiger Grund für die Emission von Spam von Ihrem Mailserver ist das Vorhandensein von Passwörtern, die Spammern bekannt sind, entweder durch Erraten, Phishing oder Ausspionieren von Malware. Behalten Sie die Stärke der Passwörter Ihrer Benutzer unter Kontrolle und stellen Sie sicher, dass Ihr Server schreibt den Kontonamen in die Protokolle, wenn eine E-Mail mit SMTP AUTH-Authentifizierung gesendet wird (leider tun dies einige Mailserver-Softwareprodukte nicht mit der Standardkonfiguration). Es ist auch hilfreich, die Kontoinformationen in den Kopfzeilen ausgehender Nachrichten zu haben.
Wenn Ihr Mailserver dies zulässt, definieren Sie pro Benutzer Limits für die Anzahl der E-Mails, die mit Authentifizierung in einem bestimmten Zeitraum gesendet werden können.
Abgesehen von den Mailservern sollten alle Geräte in Ihrem LAN (einschließlich Router) keine Konten mit dem Standard- oder einem sehr einfachen Passwort haben, unabhängig vom verwendeten Protokoll (telnet, ftp, ssh usw.): Jede unbefugte Anmeldung ist eine potenzielle Quelle des Missbrauchs.
- Kompromittierte Webserver
Auf dem Webspace treten viele Sicherheitsprobleme auf, die zur Emission von Spam führen. Wenn Angreifer die Möglichkeit haben, Webseiten unbefugt auf einen Webserver hochzuladen, können sie missbräuchliche Inhalte hochladen, für die sie mit Spam werben, aber sie können beispielsweise auch PHP-Skripte hochladen, die als Mailkanonen fungieren, aber über HTTP-Befehle gesteuert werden. Manchmal werden bösartige Dateien über FTP und kompromittierte Passwörter hochgeladen, wodurch das Problem dem im vorherigen Abschnitt beschriebenen ähnelt. Auch hier sollte die Wahrung einer guten Sicherheit von Webanwendungen und Benutzerpasswörtern dazu beitragen, dies zu verhindern. Der eigentliche Gewinner besteht darin, es dem Webserver unmöglich zu machen, E-Mails direkt zu senden, indem alle ausgehenden E-Mails, die von Webanwendungen generiert werden, gezwungen werden, einen SMTP-Wrapper zu durchlaufen, der Authentifizierung verwendet und relevante Injektionsinformationen in die Nachrichtenkopfzeilen schreibt.
- Malware-Trojaner und -Viren
ÜBERWACHEN SIE DIE LOGS!
Verbringen Sie einen kleinen Bruchteil Ihrer Zeit oder richten Sie automatisierte Mechanismen ein, die beispielsweise auf der Anzahl der E-Mails und dem Bruchteil nicht zugestellter Nachrichten basieren, um Ihren Mailserver zu überwachen. Wenn Sie ein Problem schnell erkennen und Korrekturmaßnahmen ergreifen, bevor sich die IP-Adresse oder die Domänenreputation verschlechtert, können Sie tatsächlich Zeit sparen und die Auswirkungen eines Vorfalls auf Ihren normalen E-Mail-Fluss verringern.
Vergessen Sie nicht, dass Spam, der über einen Webserver gesendet wird, Spuren in den Webserverprotokollen und nicht in den Mailserverprotokollen hinterlässt, und dass von Malware gesendeter Spam normalerweise den Mailserver umgeht und keine Spuren in den Protokollen hinterlässt.
FAZIT
Wir glauben, dass ein interner Mailserver für kleine Unternehmen eine praktikable Lösung bleibt und die bevorzugte Lösung sein sollte, wenn Datenschutz-/Vertraulichkeitsfragen als wichtig erachtet werden. Es bleibt zwar richtig, dass ein Systemadministrator mit Kenntnissen im Betrieb des Mailsystems vorhanden sein muss, diese Aufgabe sollte jedoch nicht als überwältigend angesehen werden, wenn die obigen Punkte berücksichtigt werden. Alles in allem kann sich der Betrieb eines eigenen Mailservers als sehr gute Investition erweisen.